Способ аттестации системы контроля/управления и система контроля/управления, аттестуемая упомянутым способом

Настоящее изобретение относится к компьютерным системам автоматического контроля/управления сортировочными станциями железнодорожных сетей, более точно к способам аттестации таких систем.

Сортировочные станции железнодорожных сетей позволяют размещать запасные пути в зависимости от потребностей различных поездных составов, которые их используют, таким образом, чтобы постоянно обеспечивать непрерывность движения.

Запасными путями, которыми в прошлом управляли вручную, в настоящее время автоматически управляют в дистанционном режиме системы контроля/управления, расположенные на сортировочных станциях. Сортировочные станции могут быть соединены друг с другом и с централизованной управляющей станцией, где хранятся все данные, необходимые для железнодорожного движения: состояние сети, расчетные графики, положения сопровождающего транспорта и составов и т.д.

Любое механическое нарушение непрерывности сети, например неверное положение или полуоткрытый запасной путь, стало бы катастрофическим и является неприемлемым опасным событием. Это также относится к нарушению совместимости занятости путей, способному привести к лобовому или боковому столкновению поездов.

Таким образом, важнейшей задачей является обеспечение эксплуатационной безопасности и надежности компьютерных систем на сортировочных станциях.

В настоящее время для проверки безопасности сооружаемой и испытываемой сортировочной станции или уже находящихся в эксплуатации станций, на которых внедряют функциональные усовершенствования, используют компьютерную систему, которую сначала подвергают поузловой проверке функция за функцией в отсоединенном от сети состоянии, а затем более глобальным последовательным испытаниям различных функций, при этом посредством имитатора 30, например, как это показано на фиг.1, имитируют различные датчики и автоматику 4-6 соответствующей части системы, приводят в действие компьютерную систему 3 посредством ее входов 35, 10 и получают ее выходные характеристики и данные, применимые для проверки посредством линии 38 компьютерной связи.

Задача таких испытаний состоит в том, чтобы гарантировать, что достигнутые автоматические действия будут выполняться как и предполагалось, т.е. согласно моделям, которые заданы средствами проектирования, такими как GRAFCET. Таким образом, проверяют, соответствуют ли достигнутые в результате испытаний выходные состояния автоматики состояниям, заданным средствами проектирования.

Затем осуществляют контрольные испытания реальной системы, которая на этот раз соединена с датчиками и автоматикой, запасными путями, сигнальными знаками сети, функция за функцией, затем в целом всей соответствующей части сети и необязательно при соединении с централизованной управляющей станцией.

Этапы испытания разрабатывают с помощью моделей аттестации системы. В таких моделях реализованы программы имитационного моделирования для имитатора и выполняемые им программы испытаний в виде сценариев последовательных или иногда одновременных событий для возможного рассмотрения.

Упомянутые компьютерные системы контроля/управления проектируют в расчете на мгновенную обработку любого изменения состояния, в результате чего необходимо предусмотреть множество сценариев событий, число которых невозможно подсчитать.

Кроме того, поскольку реальные испытания проводят в различных условиях осуществления, в частности временных условиях, нет уверенности в том, что изменение таких условий не повлияет на безошибочность аттестации. В связи с этим нет уверенности в том, что не произойдет опасное событие.

Таким образом, такая аттестация предложенных систем, состоящая из испытаний, является неудовлетворительной по двум основным причинам:

i) количество сочетаний сценариев настолько велико, что необходимо осуществлять выбор, и

ii) этапы аттестации зависят от условий осуществления, которые отличаются друг от друга.

При таких условиях и независимо от приложенных усилий невозможно получить полное и объективное свидетельство эксплуатационной безопасности и/или достоверности компьютерной системы контроля/управления.

Это также объясняется тем, что задача получения по возможности таких недостижимых результатов делает сегодня аттестацию систем такого типа неприемлемо длительной и дорогостоящей.

Вместе с тем, эта задача аттестации применительно к сфере железных дорог не ограничена только системами сортировочных станций. Она может касаться другого оборудования, например управления вагонными дверями. Но в более общем смысле задача касается систем контроля/управления в реальном времени промышленными процессами независимо от соответствующих временных масштабов.

Так, другие системы контроля/управления в реальном времени включают системы управления любыми средствами передвижения, самолетами, судами, системы управления атомными электростанциями или другими установками, оперативные системы и т.д.

Что касается аттестации сортировочных станций, при аттестации упомянутых систем реального времени недопустим какой-либо критический риск и даже какой-либо риск отказа. По этим же причинам во время аттестации невозможно получить свидетельство того, что опасное событие не произойдет.

Таким образом, заявителем предложен способ получения такого свидетельства во время аттестации системы реального времени, а именно системы управления сортировочной станцией железнодорожной сети или другой системы, посредством которой реализовано настоящее изобретение.

В настоящем изобретении предложен способ аттестации системы контроля/управления в реальном времени промышленным процессом, которая включает входы, изменения состояний которых отображает внешние события, выходы для управления внешними исполнительными механизмами и автоматические модули для выполнения задач в ответ на упомянутые события и воздействия на упомянутые исполнительные механизмы посредством упомянутых выходов, при этом набор состояний входов и выходов в заданный момент является глобальным текущим состоянием системы, набор состояний входов и выходов, полученных после выполнения задачи, является стабилизированным глобальным состоянием системы, при этом способ аттестации включает стадии, на которых:

составляют перечень опасных событий,

согласно принципу дополнительности прогнозируют существенные функции упомянутых автоматических модулей,

составляют перечень эксплуатационных характеристик упомянутых исполнительных механизмов,

определяют исходное стабилизированное глобальное состояние системы,

на основании исходного стабилизированного глобального состояния имитируют разовое внешнее событие с целью получения результирующего стабилизированного глобального состояния, и

продолжают осуществлять имитацию события за событием с целью получения уже имитированного стабилизированного глобального состояния путем получения одного стабилизированного глобального состояния за другим стабилизированным глобальным состоянием.

Описанную имитацию предпочтительно продолжают осуществлять до тех пор, пока не будут имитированы все возможные сочетания событий и стабилизированных глобальных состояний.

В случае получения текущего глобального состояния, соответствующего опасному событию, имитацию прекращают и систему реального времени признают неприемлемой.

Если в результате имитации конкретного события и стабилизированного глобального состояния невозможно получить стабилизированное глобальное состояние, передают предупреждение.

Систематически имитируют все возможные внешние события на примере всех стабилизированных глобальных состояний, что осуществимо, поскольку их число конечно и даже может быть определено автоматически.

В действительности, поскольку выполнение задачи, соответствующей какому-либо событию, разрешено только при отсутствии выполняемой задачи, исключаются все непредсказуемые сочетания событий, которые могут иметь место в процессе выполнения задачи.

Таким образом, отсутствует какое либо перечислимое сочетание событий. Задачи, соответствующие всем возможным внешним событиям, проверяют применительно ко всем возможным исходным стабилизированным глобальным состояниям, при этом их выполнение может быть инициировано только упомянутыми стабилизированными глобальными состояниями.

Путем применения таких условий, которые могли бы противоречить самой идее системы реального времени, получают функцию времени, внешнюю по отношению к системе, как и другие входы, и предотвращаются случайные помехи с ее стороны в процессе выполнения задачи.

Затем может быть получена исчерпывающая аттестация системы и тем самым свидетельство безопасности системы.

После осуществления имитации на этапе проверки система работает в тех же материальных и/или временных условиях, что и выше на этапах испытания. Таким образом, проверку и аттестацию проводят в одинаковых условиях.

С целью дополнительного уменьшения сложности системы или числа ее глобальных состояний помимо того факта, что набор входных глобальных состояний для каждой задачи ограничен стабилизированными глобальными состояниями, предлагается:

ограничить имитации подмножествами частичных стабилизированных глобальных состояний, автоматически прогнозируемых на основании теоретических стабилизированных глобальных состояний,

ограничить функции автоматических модулей функциями, которые допускаются соответствующими правилами производственного процесса.

Соответственно, настоящее изобретение также относится к системе контроля/управления в реальном времени промышленным процессом, включающей модуль управления, двухпозиционные входы, отображающие внешние события, и двухпозиционные выходы для управления внешними исполнительными механизмами, автоматические модули для выполнения установленных задач с целью воздействия в ответ на упомянутые события на упомянутые выходы, при этом набор состояний входов и выходов в заданный момент является текущим глобальным состоянием системы, набор состояний входов и выходов, полученный в процессе выполнения задачи, является стабилизированным глобальным состоянием системы, при этом система отличается тем, что модуль управления разрешает выполнение задачи, соответствующей какому-либо внешнему событию, только при отсутствии выполняемой задачи, соответствующей другому событию, а автоматические модули способны действовать таким образом, что результатом их соответствующего действия является только конечное число глобальных состояний.

Поскольку выполнение задачи, соответствующей какому-либо внешнему событию, разрешено только при отсутствии выполняемой задачи, соответствующей другому предшествующему событию, исключаются все непредсказуемые сочетания событий, которые могут иметь место в процессе выполнения задач.

Каждый из автоматических модулей предпочтительно способен действовать таким образом, что результатом его соответствующего действия является только конечное число стабилизированных глобальных состояний.

Другие особенности и преимущества настоящего изобретения станут более понятными из следующего далее описания со ссылкой на приложенные чертежи, на которых:

на фиг.1 схематически показана структура сортировочной станции, включающей систему контроля/управления согласно настоящему изобретению и обычную систему аттестации с возможностью частичной реализации способа аттестации согласно настоящему изобретению,

на фиг.2 показана органическая структурная схема системы контроля/управления, которой оснащена сортировочная станция,

на фиг.3 показана функциональная блок-схема проиллюстрированной на фиг.2 системы контроля/управления и структура, аттестуемая способом аттестации согласно настоящему изобретению,

на фиг.4 показана упрощенная функциональная блок-схема системы контроля/управления, в которой реализована проиллюстрированная на фиг.3 структура,

на фиг.5 показана функциональная блок-схема первой обычной системы аттестации с возможностью реализации способа аттестации согласно настоящему изобретению,

на фиг.6 показана функциональная блок-схема второй предпочтительной системы аттестации, в которой реализован способ аттестации согласно настоящему изобретению, и

на фиг.7 показана упрощенная функциональная блок-схема способа аттестации согласно настоящему изобретению.

Как показано на фиг.1, сортировочная станция 1, соединенная с центральной станцией РС2, от которой она принимает оперативную информацию, включает систему 3 контроля/управления, представляющую собой главным образом промышленный компьютер, предусматривающий автоматический контроль и управление запасными путями 4, автоматическое управление дорожными сигналами 5 и контроль состояния сети и движения поездов посредством датчиков 6. На практике система 3 контроля/управления включает по меньшей мере два промышленных компьютера.

Запасные пути 4 и дорожные сигналы 5, далее именуемые исполнительными механизмами 4, 5, фактически представляют собой органы, приводящие в действие такие запасные пути и сигналы, а также датчики 6, срабатывающие в ответ на состояния включения/выключения или TOR ("все или ничего") и возможные результаты измерений, расположены в районе железнодорожной сети, выделенном станции 1, при этом РС2 отвечает за координацию с другими станциями сети, но они также могут быть соединены друг с другом для поддержания связи независимо от РС2.

Компьютер 3 рассчитан на реализацию системы контроля/управления в реальном времени обычным промышленным процессом, т.е. способен осуществлять сбор данных, таких как состояния TOR и результаты измерений из области сети, обрабатывать и передавать в ответ команды TOR и возможно заданные значения измерений, предусмотренные для исполнительных механизмов в упомянутой области, при этом все происходит в реальном времени.

Для отображения синоптических управляющих воздействий (не показаны) и вмешательства человека в работу пульта управления (не показан), когда это оказывается необходимым, предусмотрен человекомашинный интерфейс 9. Отображение управляющих воздействий и вмешательства в работу пульта управления также может осуществляться на РС2 (фиг.2).

Для передачи данных компьютеру 3 и приема от него команд датчики 6 и исполнительные механизмы 4, 5 электрически соединены электрическими соединениями 7 с разветвителем 8, который в свою очередь соединен с компьютером 3 одной или несколькими цифровыми шинами 10 и возможно аналоговыми соединениями. Далее рассмотрен имитационный компьютер 30 и переключающее устройство 60.

Как показано на фиг.2, компьютер 3 имеет шестиуровневую структуру:

физический уровень 11 для сбора данных, включающих данные входных линий TOR и возможные результаты измерений М на таком уровне, преобразованные в цифровые данные. Такие линии на уровне 11 служат для сохранения всех состояний TOR, являющихся результатом всех событий, происходящих в контролируемой области, при этом такие события далее именуются внешними событиями,

логический уровень, включающий драйверы возможных периферийных устройств и главным образом системный блок 12 прерываний. Блок 12 предупреждает в реальном времени следующий верхний уровень о вмешательстве внешних событий, т.е. об изменении состояний TOR,

уровень 13 управления ресурсами в реальном времени, обычно включающий монитор 13 реального времени, программное обеспечение, записанное и хранящееся на основном языке. Монитор реального времени поддерживает в состоянии готовности компьютер 3, который работает согласно циклу ожидания при отсутствии задач и активизирует соответствующие функции, когда происходит событие, как это рассмотрено далее,

уровень интерпретации и выполнения приложений 14, преимущественно интерпретатор 14 для интерпретации, т.е. перевода на основной язык реального времени и выполнения прикладной программы, т.е. программы, записанной и хранящейся на языке, близком к операционному языку сортировочной станции,

уровень диаграмм состояний (название, которое будет пояснено далее), на котором хранится упомянутая прикладная программа, структурированная в автоматических модулях 15' или роботах. Во время вмешательства внешних событий монитор делает доступными внешние события в компьютере 3 и активизирует уровень 14 интерпретации и активизации. Уровень 14 поочередно вызывает и интерпретирует соответствующие роботы 15'. Затем такие роботы 15' необязательно передают команды исполнительным механизмам 4, 5 посредством выходных линий 17 и оповещают персонал станции 1 о побудившем вызов событии с помощью синоптики человекомашинного интерфейса 9. Они также инициируют приведение в действие других роботов 15', вызывающих внутренние события, что рассмотрено и пояснено далее,

уровень 16 памяти, на котором хранится глобальное состояние Fi контролируемой области железной дороги и системы 3 контроля/управления станцией 1, при этом такое состояние обуславливает работу роботов 15'.

Применение функционального языка позволяет эксплуатационному персоналу станции 1 понимать или даже изменять программирование роботов 15' прикладной программы без необходимости знать основной язык, который является гораздо менее понятным.

Как показано на фиг.3, уровень 14 интерпретации дополнительно включает вычислительный блок 18, маркировочные модули 19 и 20 или модули для помещения событий в стеки 21 и 22 с ожиданием для обработки событий, а уровень 13 включает внутренний генератор 23 тактовых импульсов для периодической синхронизации работы роботов 15' в моменты Ti и обеспечения других служб времени, более точно, вершин tr реального времени для контроля входных линий 11' и модуль 24 для отображения информации в синоптической форме.

Модуль 13' управления включает моделирующую таблицу 25 для приспособления, по меньшей мере, одного автоматического модуля 15' к какому-либо внутреннему или внешнему событию. В случае какого-либо события такая таблица позволяет находить робот(-ы) 15' для активизации на уровне диаграмм состояний, на котором они хранятся,

Используемый в описании термин "глобальное состояние Fi области железной дороги и системы контроля и управления" в целом означает текущее глобальное состояние Fi, которое в заданный момент Ti включает набор Ei двоичных состояний входов TOR и управляющих выходов, необязательно зарегистрированные результаты измерений или статус их сравнения с заданными пороговыми величинами, при этом все эти состояния отображают последовательность внешних событий (определяемых в n со значениями от 1 до N, если считать, что число датчиков TOR равно N), происходивших до наступления текущего момента Ti.

Внешним событием en может, например, являться поезд, движущийся по участку пути или покидающий такой участок, достижение границы запасного пути, обеспечение высокоэффективной работы или любое другое событие, влекущее возникновение состояния TOR. Его следствием является задача n, подлежащая выполнению в железнодорожной сети.

Fi также содержит набор Ii состояний TOR, отображающих внутренние события (обозначаемые как ip, при этом р находится в интервале 1 до Р, если считать, что число таких событий равно Р), являющиеся результатом работы автоматических модулей 15'.

Таким образом, примером внутреннего события ip может являться изменение состояния внутренней переменной, управляемой одним или несколькими роботами 15', или поступающий от робота 15' запрос активизации, выполняемый другим роботом 15'.

Текущее глобальное состояние Fi позволяет прогнозировать и сохранять в запоминающем устройстве 27 текущее функциональное глобальное состояние Gi для отображения состояния системы 3 в человекомашинном интерфейсе 9.

Такое глобальное состояние Gi является результатом выбора или суммирования значащих состояний из содержимого Fi и облегчает управление системой 3 для эксплуатационного персонала станции 1. В запоминающем устройстве 27 также хранится стек индикаторов, извлекаемых из последовательных глобальных состояний Gi для использования в качестве регистрационной книги или для содействия операциям управления в человекомашинном интерфейсе 9.

Таким образом, текущее глобальное состояние Fi в момент Ti отображено бинарным вектором с координатами N+Р, при этом внешнее текущее глобальное состояние Ei является вектором первых N двоичных значений, а внутреннее текущее глобальное состояние Ii является вектором Р остальных двоичных значений.

С помощью средства проектирования, такого как средства, в зависимости от требований автоматически создающего диаграммы состояний системы реального времени и набор доступных глобальных состояний EGA системы посредством таких диаграмм, предварительно задают конечное число J конкретных глобальных состояний ESj в качестве стабилизированных и надежных состояний железнодорожной сети.

Очевидно, если система 3 должна обеспечивать потребности станции 1, стабилизированные глобальные состояния ESj входят в возможные текущие глобальные состояния Fi. Они соответствуют заключительным состояниям задач, поставленных человекомашинным интерфейсом 9 (или самой системой 3) перед системой 3 и выполняемых роботами 15'.

Безопасность сети обеспечивают следующим образом:

составляют перечень эксплуатационных характеристик исполнительных механизмов 4, 5, позволяющий контролировать надлежащую работу (например, результатом контроля правого запасного пути не может стать глобальное состояние в результате контроля левого запасного пути), т.е. предположений, формализующих неявные состояния функции с целью отображения свойств безопасности,

составляют перечень опасных событий, которых следует избегать (в данном случае список, который будет рассмотрен далее), с целью прогнозирования посредством дополнительности, как это пояснено далее, существенных резервных функций системы 3, которые указаны далее.

С целью прогнозирования резервных функций системы 3 посредством дополнительности перечня опасных событий опасные события формализуют, исходя из глобальных состояний FXj железнодорожной сети и движения поездов, и любому роботу 15' разрешается действовать, только когда все текущие глобальные состояния Fi, являющиеся результатом его действия, входят в дополнительный набор состояний FXj из набора доступных глобальных состояний EGA.

Опасными событиями в железнодорожной сети для сортировочной станции 1 являются:

сближение или лобовое столкновение двух поездов,

боковое столкновение двух поездов,

полуоткрытый запасной путь,

поезд, который догоняет другой поезд,

качание вагонов,

сход с рельсов,

столкновение с препятствием.

В первом случае резервными функциями роботов 15' будет, например, отказ от передачи каких-либо команд по выходным линиям 17, если для этого система 3 должна перейти в одиночное состояние Fi, идентичное одиночному состоянию из числа упомянутых состояний FXj, что означает, что два поезда одновременно движутся по одному пути в противоположных направлениях.

Каждый робот 15' должен достигнуть конечного числа заключительных состояний независимо от события, которое инициировало его действие. Иными словами, каждый автоматический модуль 15' является роботом с конечным числом состояний, которое представляет собой математическое понятие, хорошо известное специалистам в области формальных языков. Если сформулировать по-другому, автоматические модули 15' рассчитаны на то, чтобы результатом их действия могло являться только конечное число глобальных состояний Fi.

Далее пояснена работа системы 3 реального времени.

Первоначально система 3 находится в "исходном" стабилизированном глобальном состоянии ESj. При этом в маркировочном стеке, параллельном таблице 25, но в данном случае, включенном в запоминающее устройство 16 роботов 15', хранятся заданные внутренние переменные, отображающие их исходное состояние или их рабочее состояние в момент их реализации.

Предусмотрена функция FI инициализация, действующая с учетом сочетания переменных состояний входов и выходов 11', 17 и внутренних переменных маркировочного стека роботов 15' в исходный момент времени.

Исходное стабилизированное глобальное состояние ESj является результатом действия функции FI инициализации.

При отсутствии события модуль 13' управления находится в циклическом режиме ожидания (фиг.4).

Как показано на фиг.3 и 4, на шаге 50 модуль 13' обнаруживает любое изменение состояния TOR во входных линиях 11' и помещает соответствующее событие en в конец списка стека 22 с ожиданием.

Если на шаге 51 определено, что событие en является наиболее ранним из событий, хранящихся в стеке, и находится в самом начале списка, в соответствующий момент, который будет указан далее, им управляет модуль 13' управления таким образом, чтобы была выполнена соответствующая задача n.

На следующем шаге 52 модуль 13' ищет в своей таблице автоматический(-е) модуль(-и) 15', которые должны выполнить такую задачу n или, по меньшей мере, начать ее выполнение. Затем он загружает первый модуль в вычислительный блок 18.

На шаге 53 интерпретатор 14 одновременно интерпретирует и выполняет программу функционирования робота 15' в вычислительном блоке 18.

В ходе этого процесса робот может:

определять состояние внутренних переменных Ii, изменением которых он управляет, создавая тем самым внутренние события ip и одновременно приводя в действие маркировочный модуль 19,

проверять как внутренние, так и внешние переменные в векторе Fi,

передавать команды по выходным линиям 17 с целью управления необходимыми исполнительными механизмами 4, 5,

приводить в действие временные задержки, в результате чего происходит присвоение двоичных значений внутренним переменным для использования в качестве индикаторов временных задержек для других роботов 15',

выполнять функции передачи сигналов или предупреждений,

проверять выполнение резервных функций,

осуществлять расчеты и т.д.

По завершении работы модуля 15' интерпретатор 14 приводит в действие маркировочный модуль 19 внутренних событий.

На этом шаге 53 маркировочный модуль 19 систематически помещает внутренние события ip, если они имеют место, в стек 21 внутренних событий, но лишь предупреждает модуль 13' управления о наличии внутренних событий для обработки по завершении работы робота 15' таким образом, чтобы одновременно действовал только один робот 15'.

После приема предупреждения от модуля 19 модуль 13' на шаге 54 проверяет содержимое стека 21.

Если стек 21 не пуст, задача n, соответствующая внешнему событию, не выполнена, и модуль 13' на шаге 55 извлекает самое раннее внутреннее событие и возвращается к упомянутому шагу 52, чтобы найти в своей таблице 25 автоматический модуль для приведения в действие применительно к внешним событиям и затем запустить интерпретатор 14 для его одновременной интерпретации и приведения в действие.

Если в стеке 21 содержится внутреннее событие, в таблице 25 должен быть найден новый модуль 15' и приведен в действие в блоке 18. Таким образом, роботы 15', отвечающие за выполнение задачи n, потенциально являются узлами диаграммы состояний en, соответствующей упомянутой задаче n, при этом упомянутые узлы соединены друг с другом внутренними событиями ip, которые являются их ветвями. Таким образом, уровень 15 роботов называют уровнем диаграмм состояний.

Из таких диаграмм выводят описанные выше доступные глобальные состояния.

Если стек 21 пуст, модуль 13' или уровень 14 изучает таблицу 25 на предмет присутствия другого робота 15' для приведения в действие с целью обработки текущего события, и в таком случае загружает его в вычислительный блок 18, в результате чего также выполняется шаг 52. В противном случае выполнение задачи n, связанной с событием еn, завершается, и модуль 13' управления запускает модуль 20, маркирующий внешние события.

Затем маркировочный модуль 20 извлекает из стека 22 внешних событий только что обработанное событие еn и в ответ предупреждает модуль 13' управления о том, что может быть учтено следующее внешнее событие еn+1 из стека 22, если оно присутствует.

Затем модуль 13' на шаге 56 проверяет, пуст ли стек 22, и если он не пуст, модуль 13' возвращается к шагу 51 с целью обработки очередного внешнего события еn+1,

если он пуст, отсутствует задача n для выполнения, и модуль 13' на шаге 50 возвращается в циклический режим ожидания.

Подразумевается, что модуль 13' ожидает окончания выполнения текущей задачи n перед тем, как запустить следующую задачу n+1, и тем самым разрешает выполнение задачи n, соответствующей любому внешнему событию еn, только при отсутствии соответствующей другому событию еn-1 задачи n-1, которая уже выполняется.

Таким образом, не учитываются внешние события, происходящие на протяжении выполнения задачи, за счет чего предотвращается неконтролируемое развитие вектора Fi текущего глобального состояния во время выполнения задачи роботами 15'. Все происходит так, будто функция времени является внешней по отношению к системе 3 подобно внешним событиям.

Таким образом, если должно быть получено свидетельство опасного события, правила логической и временной интерпретации должны быть предельно ясными. Именно поэтому система 3 реального времени разделена на две подсистемы реального времени, реализованные в обоих стеках 21 и 22, при этом время tr контроля и время Ti синхронизации чаще всего истекают независимо друг от друга и совпадают друг с другом только при достижении одного из заданных стабилизированных глобальных состояний ESj.

Временем tr не управляет ни интерпретатор 14, ни даже уровень диаграмм состояний.

Напротив, внутренние события могут обрабатываться как внешние события, и становится внешними по отношению к системе 3. Затем модуль 13' управления (посредством маркировочных модулей 19 и 20) помещает такие события в стек 22, а не в стек 21. Это может происходить, например, с внутренними переменными, служащими индикаторами текущей временной задержки, когда они должны запускать задачу, отличающуюся от выполняемой задачи. Это является еще одной формой перехода от времени Ti к времени tr в системе 3.

В последнем случае даже временные задержки, синхронизированные посредством моментов времени Ti, также избегают контроля со стороны

интерпретатора 14 и роботов 15'.

На шаге 53 маркировочный модуль 19 также передает модулю 24 представления данных о развитии текущего обрабатываемого состояния, а затем в реальном времени о состояниях ip внутренних переменных, присвоенных модулем 15'.

Затем модуль 24 в каждый момент Ti времени сохраняет текущее глобальное состояние Fi системы в запоминающем устройстве 16 и текущее функциональное глобальное состояние Gi в запоминающем устройстве 27, в результате чего они становятся доступными для человекомашинного интерфейса 9.

Когда модуль 13' принимает от модуля 20 предупреждение с требованием учесть очередное внешнее событие еn+1 и проверить диаграмму Dn+1 в зависимости от Fi+1, он может проверить, действительно ли стабилизированное глобальное состояние ESj+1 входит в текущее глобальное состояние Fi+1, и передает предупреждение, если такое текущее глобальное состояние отсутствует.

Тем не менее, в данном случае такую проверку осуществляют только один раз на этапе аттестации после этапа создания системы, который описан далее.

Как показано на фиг.1 и 5, в уже упомянутом в начале описания первом обычном варианте осуществления системы, предусматривающей такую стадию аттестации, средства железнодорожной сети, включая разветвитель 8, заменяют моделирующим компьютером 30 для систематической и автоматической проверки всех ветвей диаграмм Dn.

Компьютер 30, проиллюстрированный на фиг.1 и 3 и более подробно на фиг.5, может быть физически идентичен компьютеру 3. Он также может иметь входные линии 33 и выходные линии 34, человекомашинный интерфейс 32, центральный блок 31, в котором помещается программное обеспечение системы имитационного моделирования, запоминающие устройства 36 и 37, параллельные запоминающим устройствам 16 и 27, и оперативное запоминающее устройство программного обеспечения системы имитационного моделирования.

Входные и выходные линии 33, 34 компьютера 30 соединены с входными и выходными линиями 11', 17 компьютерной системы 3 посредством переключающего устройства 60 с двумя положениями R и S, как это показано на фиг.1, при этом в положении R (реальном) компьютер 3 соединен с разветвителем 8, а в положении S (имитированном) компьютер 3 соединен с компьютером 30.

В положении S выходные линии 34 компьютера 30 соединены с входными линиями 11' компьютера 3, а входные линии 33 компьютера 30 соединены с выходными линиями 17 компьютера 3, за счет чего с помощью программного обеспечения системы имитационного моделирования компьютера 30 и посредством выходных линий 34 могут быть имитированы входные линии 11' так, будто их источником является разветвитель 8.

Этот случай противоположен случаю, когда с помощью входных линий 33 компьютера 30 восстанавливают выходные линии 17.

Кроме того, компьютеры 3 и 30 соединены линией 38 компьютерной связи с достаточной скоростью передачи данных, чтобы компьютер 30 был в состоянии блокировать и разблокировать синхронизацию Ti генератора 23 тактовых импульсов с целью инициации и считывания развития текущих глобальных состояний Fi и Gi запоминающих устройств 16 и 27, соответственно из или в своих запоминающих устройствах 36 и 37.

Оперативное запоминающее устройство включает стеки Ro, So и St для запоминания глобальных состояний ESj и глобальных состояний FXj. Стек Ro позволяет осуществлять имитационное моделирование задачи n, а в стеке So хранится J-число глобальных состояний ESj для проверки, автоматически получаемых с помощью простого программного обеспечения, зависящего от проверки. В стеке St хранятся прошедшие проверку глобальные состояния ESj.

Оперативное запоминающее устройство также включает стек Ео, в котором хранятся значения N, в которых реализованы двоичные состояния событий en, и таблица Е1 регистрируемых предупреждений.

Кроме того, программное обеспечение системы имитационного моделирования должно отвечать по меньшей мере следующим требованиям:

иметь предупредительные функции, выведенные из формализации характеристик исполнительных механизмов, которыми оно управляет,

иметь резервные функции, выведенные посредством дополнительности первого перечня опасных событий.

Для выведения предупредительных функций автоматических модулей 15' из формализации характеристик исполнительных механизмов, которыми управляет программное обеспечение системы имитационного моделирования, формализуют подразумеваемые условия текущей команды и сравнивают их с состоянием сети, например, с учетом того, что запасной путь 4 для обработки является левым запасным путем, при этом предупредительная функция может предусматривать проверку совместимости соответствующих состояний ESj сети и движения поездов, обеспечиваемого PC 2 и/или датчиками 6, с текущей обработкой левого пути.

В таком первом варианте осуществления система аттестации должна быть дополнена испытательным оборудованием, требующим отступления от окончательных условий эксплуатации. Если автоматику подвергают проверке в ее окончательном логическом контексте, ее не подвергают проверке в ее окончательном временном контексте.

Именно поэтому показанный на фиг.6 второй вариант осуществления системы аттестации фактически предусматривает проведение формальной аттестации и, тем не менее, является существенно более простым.

Этот второй вариант осуществления системы аттестации действительно позволяет реализовать способ, в целом основанный на том факте, что моделями, заданными средствами проектирования, являются роботы, и, следовательно, они могут быть непосредственно интерпретированы компьютером 3.

Аттестация включает проверку соответствия моделей всем требованиям безопасности в полном, материальном и, прежде всего, окончательном временном контексте эксплуатации. Таким образом, формальное свидетельство безопасности реализовано в самих моделях, которые в действительности могут представлять собой интерпретируемые компьютером записи самих проектных условий.

С этой целью:

компьютер 30 включает компьютер 3 и описанное выше программное обеспечение системы имитационного моделирования, рассчитанное на обмен данными с ним в компьютере 30. Таким образом, набор данных, хранящихся в компьютере 3, как это описано выше и показано на фиг.2, 3,4, также доступен для компьютера 30 и его программного обеспечения системы имитационного моделирования, при этом линия 38 компьютерной связи между компьютерами 3 и 30, а также запоминающие устройства 36 и 37 не являются необходимыми;

программное обеспечение системы имитационного моделирования методом компьютерного моделирования имитирует все возможные внешние события во всех стабилизированных глобальных состояниях на основании диаграмм. Таким образом, в данном варианте осуществления системы аттестации не требуется, чтобы входы/выходы 33, 34 компьютера 30 были соединены с входами/выходами 11', 17 компьютера 3. Отсутствует переключающее устройство 60 и входные и выходные линии 33 и 34. Программное обеспечение системы имитационного моделирования фактически контролирует и управляет компьютером 3 в автоматическом режиме, а именно способом, который описан далее;

компьютеру 30 доступны все данные и сведения, хранящиеся в компьютере 3 и необходимые для осуществления аттестации на их основании. С другой стороны, не требуется блокирование/разблокирование синхронизации генератора 23 тактовых импульсов, при этом часы 23 реального времени компьютера 3 также способны выполнять набор функций часов реального времени компьютера 30,

предусмотрены остальные описанные выше элементы компьютера 30.

Таким образом, с помощью системы 30 согласно второму варианту осуществления обеспечивается работа системы 3 в совершенно одинаковых материальных и временных условиях во время ее аттестации системой 30 и в процессе эксплуатации.

Дополнительным преимуществом этого второго варианта осуществления является возможность активизировать с помощью компьютера 30 работающий в пошаговом режиме модуль, который не может быть реализован в точно запрограммированной системе 3 реального времени.

Таким образом, как показано на фиг.7, независимо от системы, применяемой для аттестации системы 3, имитация или контроль и управление компьютером 3, осуществляемое программным обеспечением системы имитационного моделирования в компьютере 30, включает выполнение следующих шагов:

шаг 101: из стека So системы 3 извлекают стабилизированное глобальное состояние ESj (например, прежде всего j=1) и инициируют запоминающие устройства Ro и 16 с помощью этого первого стабилизированного глобального состояния,

шаг 102: из стека Ео извлекают внешнее событие en (например, сначала n=1), которое вводят в стек 22 с целью запуска компьютера 3, разблокирующего часы 23,

шаг 103: отслеживают последовательные текущие глобальные состояния Fi в моменты Ti времени, определяемые модулем 24, и проверяют, не являются ли такие глобальные состояния признаками опасных событий, путем их сравнения с глобальными состояниями FXj. Если это так, имитацию прекращают с целью коррекции;

в противном случае выполняют шаг 104: сравнивают последовательные текущие глобальные состояния Fi со всеми стабилизированными глобальными состояниями ESj из стека So и переходят к шагу 105, как только получен положительный результат сравнения, т.е. результирующее стабилизированное глобальное состояние ESj, если только стек 21 не пуст;

в последнем случае продолжают имитацию с целью достижения одного или нескольких других результирующих стабилизированных глобальных состояний ESj, если только достигнутое стабилизированное глобальное состояние не является стабилизированным глобальным состоянием, хранящимся в стеке St, в случае чего переходят к шагу 105. Иными словами, в последнем случае продолжают последовательную имитацию задачи n, одно стабилизированное глобальное состояние за другим стабилизированным глобальным состоянием, пока не будет достигнуто уже имитированное и хранящееся в стеке St стабилизированное глобальное состояние;

если на шаге 105 не получают стабилизированное глобальное состояние в конце выполнения задачи, в таблицу El вносят предупреждение и переходят к шагу 106;

шаг 106: блокируют часы 23. Если имитированы все события en из стека Ео, переходят к шагу 107, в противном случае снова выполняют описанные шаги, начиная с шага 101, при этом на шаге 102 моделируют очередное внешнее событие en+1;

шаг 107: имитируют глобальное состояние ESj, полностью проверенное на все N существующих внешних событий en, добавляют содержимое стека Ro (содержащего имитированные ESj) в стек St и извлекают его из стека So;

шаг 108: если стек So пуст, имитацию завершают и переходят к последнему шагу 109 вывода на человекомашинном интерфейсе 32 перечня событий Ео и других проверенных стабилизированных глобальных состояний St и перечня предупреждений, выведенных из таблицы Е1, в противном случае снова выполняют шаг 101 и последующие шаги, извлекая очередное стабилизированное глобальное состояние ESj+1 из стека So, чтобы продолжить последовательную имитацию одного стабилизированного глобального состояния за другим стабилизированным глобальным состоянием и одного внешнего события за другим внешним событием, пока не будут охвачены все ветви всех диаграмм on, т.е. пока не будут имитированы все возможные сочетания событий и стабилизированных глобальных состояний.

Таким образом, может быть осуществлена исчерпывающая аттестация системы 3 и тем самым в течение короткого времени получено формальное свидетельство ее эксплуатационной безопасности.

Если выбрана система аттестации согласно первому варианту осуществления для реализации после имитации достаточно перевести переключающее устройство 60 в положение R, после чего система 3 будет работать в тех же материальных и временных условиях, что и на стадии аттестации. Таким образом, исключается отличающаяся материальная реализация, способная приводить к потере достоверности аттестации применительно к эксплуатируемой системе. Это также относится к системе аттестации согласно второму варианту осуществления.

С целью дополнительного уменьшения сложности системы или числа ее глобальных состояний имитации могут быть ограничены подмножествами частичных стабилизированных глобальных состояний Gi, которые автоматически прогнозируются на основании стабилизированных глобальных состояний ESj.

Функции автоматических модулей 15, как это указано выше, могут быть ограничены функциями, разрешенными для эксплуатационного персонала правилами, действующими в отношении сортировочных станций.

1. Способ аттестации системы (3) контроля/управления в реальном времени промышленным процессом, включающей входы (11), изменения состояний которых отображает внешние события (еn), выходы (17) для управления внешними исполнительными механизмами (4, 5) и автоматические модули (15') для выполнения задач (n) в ответ на упомянутые события (en) и воздействия на упомянутые исполнительные механизмы (4, 5) посредством упомянутых выходов (17), при этом набор состояний входов и выходов в заданный момент является глобальным текущим состоянием (Fi) системы (3), набор состояний входов и выходов, полученных после выполнения задачи (n), является стабилизированным глобальным состоянием (ESj) системы (3), а способ аттестации включает стадии, на которых:
составляют перечень опасных событий (FXj),
прогнозируют существенные функции упомянутых автоматических модулей из перечня опасных событий согласно принципу дополнительности,
составляют перечень эксплуатационных характеристик упомянутых исполнительных механизмов (4, 5),
определяют исходное стабилизированное глобальное состояние (ESj) системы,
на основании исходного стабилизированного глобального состояния (ESj) имитируют разовое внешнее событие (en) с целью получения результирующего стабилизированного глобального состояния (ESj+1), и продолжают осуществлять имитацию события (еn+1) за событием (en) с целью получения уже имитированного стабилизированного глобального состояния (ESj+1) путем получения одного стабилизированного глобального состояния (ESj+1) за другим стабилизированным глобальным состоянием (ESj), при этом имитацию продолжают до тех пор, пока не будут имитированы все возможные сочетания событий (en) и стабилизированных глобальных состояний (ESj), и прекращают имитацию, как только получают текущее глобальное состояние (Fi), отображающее опасное событие (FXj).

2. Способ по п.1, в котором, если в результате имитации частного события (en) и частного стабилизированного глобального состояния (ESj) не может быть получено стабилизированное глобальное состояние (ESj+1), передают предупреждение (Е1).

3. Способ по п.1, в котором систематически имитируют все возможные внешние события (en) во всех стабилизированных глобальных состояниях (ESj).

4. Способ по п.1, в котором разрешают выполнение задачи (n), соответствующей любому событию (en) только при условии отсутствия уже решаемой задачи (n-1).

5. Способ по п.1, в котором проверяют задачи (n), соответствующие всем возможным внешним событиям (Ео), применительно ко всем исходным стабилизированным глобальным состояниям (So).

6. Способ по п.5, в котором задачи (n) могут быть инициированы только на основании упомянутых одинаковых исходных стабилизированных глобальных состояний (So).

7. Способ по п.1, в котором имитации ограничены подмножествами (Gi) стабилизированных глобальных состояний, прогнозируемых на основании стабилизированных глобальных состояний (ESj), а функции автоматических модулей (15') ограничены функциями, разрешенными правилами, действующими применительно к промышленному процессу.

8. Способ по п.1, в котором система (3) контроля/управления в реальном времени контролирует и управляет элементами железнодорожной сети, выбранными из группы, включающей запасные пути (4), дорожные сигналы (5), двери вагонов.